Questa pagina descrive i perimetri di servizio e include i passaggi generali per la configurazione dei perimetri.
Informazioni sui perimetri di servizio
Questa sezione fornisce dettagli sul funzionamento dei perimetri di servizio e sulle differenze tra perimetri applicati e di prova.
Per proteggere i servizi Google Cloud nei tuoi progetti e ridurre il rischio di esfiltrazione dei dati, puoi specificare i perimetri di servizio a livello di progetto o di rete VPC. Per ulteriori informazioni sui vantaggi dei perimetri di servizio, consulta la panoramica dei Controlli di servizio VPC.
Inoltre, i servizi accessibili all'interno di un perimetro, ad esempio dalle VM di una rete VPC ospitata all'interno di un perimetro, possono essere limitati utilizzando la funzionalità Servizi accessibili VPC.
Puoi configurare i perimetri dei Controlli di servizio VPC in modalità applicata o di prova. Gli stessi passaggi di configurazione valgono per i perimetri applicati e di prova. La differenza è che i perimetri di prova registrano le violazioni, anche se vengono applicati in modo forzato, ma non impediscono l'accesso ai servizi limitati.
Modalità di applicazione forzata
La modalità di applicazione forzata è quella predefinita per i perimetri di servizio. Quando viene applicato un perimetro di servizio, le richieste che violano il criterio del perimetro, come le richieste di servizi limitati dall'esterno di un perimetro, vengono rifiutate.
Un perimetro in modalità di applicazione protegge le risorse Google Cloud applicando il confine del perimetro per i servizi limitati nella configurazione del perimetro. Le richieste API ai servizi limitati non attraversano il confine del perimetro, a meno che non vengano soddisfatte le condizioni delle regole in entrata e in uscita necessarie del perimetro. Un perimetro in modalità di applicazione forzata protegge dai rischi di esfiltrazione dei dati, ad esempio credenziali rubate, autorizzazioni configurate in modo errato o utenti malintenzionati interni che hanno accesso ai progetti.
Modalità test di prova
In modalità di prova, le richieste che violano il criterio del perimetro non vengono rifiutate, ma solo registrate. I perimetri di servizio di prova vengono utilizzati per testare la configurazione dei perimetri e monitorarne l'utilizzo senza impedire l'accesso alle risorse. Di seguito sono riportati alcuni casi d'uso comuni:
Determinazione dell'impatto della modifica dei perimetri di servizio esistenti.
Visualizzazione dell'anteprima dell'impatto dell'aggiunta di nuovi perimetri di servizio.
Richieste di monitoraggio a servizi limitati che provengono dall'esterno di un perimetro di servizio. Ad esempio, per identificare la provenienza delle richieste a un determinato servizio o l'utilizzo imprevisto dei servizi nella tua organizzazione.
Creazione di un'architettura perimetrale nell'ambiente di sviluppo analogo all'ambiente di produzione. Puoi identificare e ridurre eventuali problemi causati dai perimetri di servizio prima di inviare modifiche all'ambiente di produzione.
Per ulteriori informazioni, vedi Modalità di prova.
Fasi di configurazione del perimetro di servizio
Per configurare i Controlli di servizio VPC, puoi utilizzare la console Google Cloud,
lo strumento a riga di comando gcloud
e le API Access Context Manager.
Puoi configurare Controlli di servizio VPC come descritto nei seguenti passaggi generali:
Crea un criterio di accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio.
(Facoltativo) Configura i servizi accessibili da VPC per aggiungere ulteriori limitazioni all'utilizzo dei servizi all'interno dei perimetri.
Configura la connettività privata da una rete VPC (facoltativo).
(Facoltativo) Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata.
(Facoltativo) Configura lo scambio di dati sicuro utilizzando le regole in entrata e in uscita.
Crea un criterio di accesso
Un criterio di accesso raccoglie i perimetri di servizio e i livelli di accesso che crei per la tua organizzazione. Un'organizzazione può avere un unico criterio di accesso per l'intera organizzazione e più criteri di accesso con ambito per cartelle e progetti.
Puoi utilizzare la console Google Cloud, lo strumento a riga di comando gcloud
o le API Gestore contesto accesso per creare un criterio di accesso.
Per scoprire di più su Gestore contesto accesso e sui criteri di accesso, leggi la panoramica di Gestore contesto accesso.
Proteggi le risorse gestite da Google con i perimetri di servizio
I perimetri di servizio vengono utilizzati per proteggere i servizi utilizzati dai progetti nella tua organizzazione. Dopo aver identificato i progetti e i servizi da proteggere, crea uno o più perimetri di servizio.
Per saperne di più su come funzionano i perimetri di servizio e su quali servizi è possibile proteggere i Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.
Alcuni servizi presentano limitazioni relative al modo in cui possono essere utilizzati con i Controlli di servizio VPC. Se riscontri problemi con i progetti dopo la configurazione dei perimetri di servizio, consulta Risoluzione dei problemi.
Configura i servizi accessibili da VPC
Quando abiliti i servizi accessibili da VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a un insieme di servizi da te specificati.
Per saperne di più su come limitare l'accesso all'interno del perimetro solo a un insieme specifico di servizi, leggi ulteriori informazioni sui servizi accessibili VPC.
Configurazione della connettività privata da una rete VPC
Per fornire maggiore sicurezza alle reti VPC e agli host on-premise protetti da un perimetro di servizio, ti consigliamo di utilizzare l'accesso privato Google. Per saperne di più, consulta l'articolo sulla connettività privata dalle reti on-premise.
Per saperne di più sulla configurazione della connettività privata, consulta Configurazione della connettività privata alle API e ai servizi Google.
Limitare l'accesso alle risorse Google Cloud solo all'accesso privato dalle reti VPC significa che l'accesso tramite interfacce come la console Google Cloud e la console Cloud Monitoring viene negato. Puoi continuare a utilizzare lo strumento a riga di comando gcloud
o i client API dalle reti VPC che condividono un perimetro di servizio o un bridge del perimetro con le risorse limitate.
Consenti l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole in entrata
Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi del client, come il tipo di identità (account di servizio o utente), identità, dati del dispositivo e origine della rete (indirizzo IP o rete VPC).
Ad esempio, puoi configurare regole in entrata per consentire l'accesso a internet alle risorse all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole in entrata per configurare l'accesso sensibile al contesto, consulta Accesso sensibile al contesto.
Configura lo scambio di dati sicuro utilizzando le regole in entrata e in uscita
Puoi includere il progetto in un solo perimetro di servizio. Se vuoi consentire la comunicazione attraverso il confine del perimetro, configura le regole per il traffico in entrata e in uscita. Ad esempio, puoi specificare regole in entrata e in uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per ulteriori informazioni sui casi d'uso di Secure Data Exchange, consulta Secure Data Exchange.